企业信息安全落地实践指南

本书主要聚焦信息安全领域，内容涵盖安全运营、应用安全、数据隐私安全、业务安全、信息安全管理体系建设，较为全面地概括了信息安全工作的主要模块，并详细介绍了各模块涉及的工作职责、工作思路及解决相关问题所运用的技术手段与工具。

本书适合中小型互联网公司信息安全主管、网络安全从业人员阅读。

熊耀富

资深信息安全专家/知名CSO，十余年信息安全从业经验，参与过“粤省事”小程序、“平安一账通”等重大安全项目建设，先后工作于安恒、深信服等知名安全企业及平安科技等世界500强金融公司。担任过资深安全专家、安全运营负责人和信息安全总监等职务，既负责过千人规模的互联网金融公司出海走向国际化的整体安全建设工作，也参与过从零建设万人规模的金融公司应用安全体系任务。

黄平

资深信息安全专家，十余年信息安全从业经验，曾在深信服负责防火墙检测能力建设和安全产品研发，也曾在小赢科技、岩心科技等知名互联网金融公司承担安全体系从0到1建设工作，担任过安全运营负责人、业务安全负责人等。

李锦辉

资深信息安全专家，数年信息安全从业经验，先后在物流、金融等行业从事安全运营、数据安全等重要岗位，曾在万人规模的企业完成ISO27001/ISO 27701国际安全和隐私合规体系认证建设，牵头主导数据安全产品的自主研发和推广应用。

黄建斌

资深应用安全架构师，曾工作于平安科技、AKULAKU等知名企业，有近十年应用安全工作经验，担任过安全架构师、应用安全负责人等，曾负责过千万级用户项目的应用安全从0建设工作。

本书为中小型企业信息安全建设工作提供了翔实的、可落地的实践指南，突出的特色在于作者分享了企业信息安全管理平台建设的具体步骤、过程、思考，是企业信息安全主管不可多得的工作参考书。

序

本书是我司安全团队总结自身多年工作经验创作的第一本书，也在一定程度上是我司信息安全建设历程的总结与沉淀，也是duke（熊耀富）带领的安全团队持续成长的一个见证。

随着数字经济向纵深发展，网络安全风险形态也不断演变且日益复杂。在5G、人工智能和云计算等新兴技术广泛应用、跨境电商迅速发展、跨界新商业模式不断涌现的背景下，网络风险的潜在影响显著扩大，网络安全保障缺口不断上升。网络风险的动态变化特征与持续增长的潜在经济损失将挑战可保边界。网络安全风险已成为全球各国面临的最严峻的风险之一，在中国已被视为事关国家安全的战略问题。

近年来，各国网络安全相关政策法规频频发布，不断指导和规范各级组织机构紧跟国家政策，落实相关管理要求。这就要求企业和组织机构具备相应的网络安全建设管理能力，以更好地应对网络威胁。因此，如何进行信息安全建设，在外部做好攻击防范，在内部管理加强，已成为当下企业和组织机构不得不面对和思考的难题。本书就是一本甲方视角的互联网企业信息安全建设实践指南，可以为互联网企业建立可行的网络安全管理策略，在整个组织内协调和执行安全计划，保障企业信息资产的机密性、完整性和可用性，建立坚固的信息安全体系提供参考和借鉴。

技术的更迭带来网络安全问题的新旧交替，随着数字化的发展，网络中暴露的设备、软件、数据越来越多，我们面临的安全威胁也越来越多，保护企业信息安全任重道远。也希望本书可以帮助互联网企业在信息安全建设上找到方向，在信息化发展浪潮中稳步前进！

AKULAKU CTO　胡博

前　　言

从我2008年踏入信息安全行业开始，已经十几个年头了。我先在乙方从事安全产品售后交付、安全渗透、安全产品售前工作，后来到甲方从事SDLC应用安全、安全运营、基础安全和安全技术管理工作，算得上一名信息安全老兵。在不短的工作时间内，有幸能和黄建斌、李锦辉、黄平在多家公司有共事的机会。

在我们四个人中，我大学学习的是软件工程专业，黄建斌和黄平学习的是信息安全专业，李锦辉在踏入信息安全行业之前是一名军人。黄建斌虽然是科班出身，但是他所在大学整个班级的同学真正从事信息安全工作的只有五个人。李锦辉是我们四个人中年纪最小的，虽然退伍多年，但依然保持着一股干劲，勤勤恳恳。黄平和我一样，在甲乙方都工作过，从事过渗透、开发、业务安全等方面的工作，是名副其实的多面手。

因工作需要和兴趣使然，我们四个人经常在一起就信息安全问题展开探讨。对我们而言，感谢命运的眷顾与安排，这是一段非常值得珍惜的美好经历。

在信息安全团队的建设过程和实际项目中，我们遇到了很多困扰。首先是安全理念的转变：从思考如何发现业务漏洞到琢磨如何体系化保护业务安全。其次是角色的转变：在乙方，安全渗透报告一提交，后面就基本是销售跟进的工作了，而在甲方，发现漏洞只是工作中的一环，还需要漏洞闭环修复，安全开发培训，安全基线制定等。最后是心智的转变：不再盲目选择“高大上”的商业解决方案，能结合实际情况解决自身痛点的产品方案才是好的产品方案。

在日常工作中，我们习惯做一些工作笔记，并进行知识分享。2022年1月的一天，在完成内部知识分享课后，HRBP悄悄告诉我，有一场安全知识分享课的评价特别好，这让我深有感触，让我回想起曾经踩过的大大小小的坑、在遇到困难却找不到更好的解决方案时的窘境。因此，我想：为何不将点点滴滴的甲方安全工作经验写成一本实践经验总结的书呢？提议之初，大家热情高涨，但没过几天就打起了退堂鼓，主要是顾虑书中分享的内容在技术专业性、前沿性方面是否足够好。经过集体思考和讨论，我们认为：安全技术日新月异，书中分享的内容可能在技术专业领域不是最新、最好的，但我们希望通过自己的知识分享、所付出的微薄之力，给更多尚处在迷茫或探索之中的安全同路人更多的参考。

在统一思想后，得益于彼此之间的默契，我们立即开始整理资料，充分利用周末和节假日时间，经过6个多月的努力，在2022年8月完成了这本书的写作。

除了四位主要作者，还有很多同学参与了本书的写作。唐大锦参与写作第2章有关资产自动化监控、资产自动化扫描、安全日志自动化采集、日志自动清洗加工、安全告警事件自动编排的内容。李灵、李晓森、况小荣参与写作第5章有关业务安全挑战、业务安全建设历程、业务安全对抗案例的内容。蔡木卢参与写作第6章有关业务红蓝对抗的内容。祝晓彤参与写作第7章有关信息安全管理体系落地实践的内容。林青楠、杨永源、林柯轩等参与了本书的前期筹备工作。

本书共7章，主要内容如下。

*第1章介绍安全团队组织建设目标和发展阶段，并梳理不同时期安全重点建设任务。

*第2章介绍安全运营资产自动化监控管理，资产发生变动时自动化安全扫描，安全日志的采集和清洗加工，以及如何结合工作流自动编排处理。

*第3章介绍数据与隐私安全落地，分享了数据安全建设常用理论模型，描述了数据资产识别过程，以及数据安全能力支撑平台开发实现过程。

*第4章介绍SDLC和DevSecOps的概念及区别，以及DevSecOps活动任务的拆解、安全工具链的搭建、安全测试自动化的实现。

*第5章介绍业务安全的相关内容，梳理了业务安全挑战、业务安全建设历程和账户、营销活动对抗黑产分析案例。

*第6章介绍网络红蓝对抗，包括常规红蓝对抗和业务红蓝对抗之间的区别和具体案例。

*第7章介绍信息安全管理体系落地实践，分享了ISO/IEC27001:2013信息安全管理体系建设流程与步骤、企业信息安全文化氛围建设方法。

在本书完成之际，感谢我任职过的公司为我提供了不断学习、实践、成长的平台和机会。也感谢一直以来给予我提携和帮助的前辈、鞭策我成长的朋友，他们是胡博@AKULAKU、段钢@KanXue、方勇、吴昊@Tencent、付山阳、秦伟强@Pingan、陈伟洪@数广、张洪涛@Impreva、张小孟@安恒、邓海辉、许承、郑泽辉。

感谢电子工业出版社的潘昕老师，在写作过程中给予大量帮助和建议。

最后，感谢购买本书的读者朋友，希望阅读本书能让您有所收获。

特别声明：由于传播、利用本书内容造成的任何直接或者间接的后果及损失，均由使用者本人负责，本书作者不为此承担任何责任。

由于作者水平有限，书中难免有些疏漏和不足，恳请读者批评指正。

熊耀富 duke

2023年1月

第1章　安全目标与团队建设 1

1.1　安全建设阶段 1

1.2　团队组织建设 3

1.3　不同时期的重点工作 4

1.4　小结 9

第2章　安全运营落地实践 11

2.1　资产自动化监控 11

2.1.1　阿里云资产自动监控 12

2.1.2　腾讯云资产自动监控 17

2.1.3　AWS云资产自动监控 21

2.1.4　DNS域名自动监控 24

2.1.5　仿冒域名自动监控 26

2.1.6　VPN账号自动监控 27

2.2　资产变动自动化扫描 30

2.2.1　Nessus漏洞扫描API 30

2.2.2　AWVS漏洞扫描API 32

2.2.3　端口目录扫描API 35

2.2.4　微信告警API 38

2.2.5　新增IP地址自动扫描 39

2.2.6　新增DNS域名漏洞扫描 40

2.3　安全日志自动化采集 42

2.3.1　日志数据持久存储 42

2.3.2　日志自动采集工具 51

2.4　日志的加工与清洗 70

2.4.1　Grok匹配 71

2.4.2　Mutate的使用 77

2.4.3　Process的使用 79

2.4.4　GeoIP 81

2.5　安全告警事件自动编排 83

2.5.1　n8n 83

2.5.2　Node-RED 94

2.6　安全运营平台集成化管理 105

2.7　小结 109

第3章　数据与隐私安全落地实践 110

3.1　企业数据安全建设挑战 110

3.1.1　法规条例监管要求 111

3.1.2　数据丢失泄露风险 112

3.2　数据安全建设理论模型 114

3.2.1　安全能力成熟度模型 114

3.2.2　IPDRR能力框架模型 116

3.3　数据资产盘点三步曲 117

3.3.1　数据使用人员盘点 118

3.3.2　数据访问方式盘点 119

3.3.3　数据自助分类分级 120

3.4　数据安全保护实践历程 122

3.4.1　数据分级保护 122

3.4.2　策略支撑平台 125

3.4.3　数据安全态势分析 159

3.4.4　隐私合规建设 162

3.5　小结 170

第4章　应用安全落地实践 171

4.1　应用安全实践方案 171

4.1.1　S-SDLC介绍 171

4.1.2　DevSecOps介绍 173

4.2　DEVSECOPS落地实践 175

4.2.1　DevSecOps活动拆解 175

4.2.2　搭建安全工具链 178

4.2.3　安全测试自动化 196

4.2.4　应用安全质量管理 204

4.3　小结 209

第5章　业务安全落地实践 210

5.1　业务安全概述 211

5.2　业务安全挑战 211

5.2.1　业务安全风险 212

5.2.2　黑产多样化手法 216

5.3　业务安全对抗手段 222

5.3.1　反欺诈作弊 223

5.3.2　风险团管控 225

5.3.3　名单管控 226

5.3.4　活动门槛 227

5.3.5　风险评分卡 228

5.3.6　情报监控 228

5.4　业务安全建设过程 230

5.4.1　雏形期业务安全建设 230

5.4.2　成长期业务安全建设 232

5.4.3　成熟期业务安全建设 237

5.5　业务安全对抗案例 238

5.5.1　识别恶意注册行为 238

5.5.2　识别裂变拉新“薅羊毛”行为 242

5.5.3　识别团伙作弊行为 250

5.5.4　识别KYC欺诈行为 253

5.6　小结 254

第6章　红蓝对抗活动实践 256

6.1　红蓝对抗简介 256

6.2　常规红蓝对抗 257

6.2.1　社会工程学 257

6.2.2　邮件钓鱼 258

6.2.3　互联网水坑攻击 275

6.2.4　近源攻击 277

6.2.5　供应链攻击 283

6.3　业务红蓝对抗 287

6.3.1　人脸识别绕过测试 288

6.3.2　滑块验证码绕过测试 292

6.3.3　设备指纹篡改测试 295

6.4　小结 299

第7章　信息安全管理体系落地实践 300

7.1　安全体系建设流程与步骤 300

7.1.1　项目启动 301

7.1.2　现状评估 302

7.1.3　风险评估 303

7.1.4　体系文件编写 317

7.1.5　内部审核 323

7.1.6　有效性测量 328

7.1.7　管理评审 332

7.1.8　认证年审 334

7.1.9　安全培训 337

7.1.10　典型记录文档模板 339

7.2　企业信息安全文化建设 344

7.2.1　全员参与 345

7.2.2　赏罚分明 348

7.2.3　预知风险 350

7.2.4　安全就是生产力 351

7.3　小结 353

附录A　管理评审报告 354

参考文献 357